Snort

  • Tutustu snort ohjelmistoon
  • Käynnistä kaksi virtuaalikonetta (Server ubuntu ja Wireshark ubuntu)
  • Asenna Server ubuntuun snort (sudo apt-get install snort)
  • Asenna Wireshark ubuntuun nmap (sudo apt-get install nmap)
  • Tutustu snortin konfigurointiin (/etc/snort/snort.conf ja säännöt kansiossa /etc/snort/rules/)
  • Hälytykset tulevat tiedostoon /var/log/snort/alert
  • Skannaa snort-konetta ja tarkista alert-tiedosto
  • Lisää snortiin sääntö pingauksen tunnistamiseksi (tiedostoon /etc/snort/rules/icmp.rules)
    • alert icmp any any → any any (msg:“ICMP Packet”; sid:1000001; rev:1;)
  • Käynnistä snort uudelleen (sudo /etc/init.d/snort restart)
  • Pingaa snort-konetta ja ja tarkista alert-tiedosto
Last modified: 2013/07/01 14:42